Ist KI für Berufsgeheimnisträger überhaupt erlaubt?

Ja - seit der §203-Reform 2017 über die Einbindung eines verpflichteten Dienstleisters als mitwirkende Person. Cloud-Tools ohne diese Absicherung sind das Problem, nicht KI an sich.

Reicht eine AVV mit OpenAI/Microsoft?

Nein. Die AVV regelt Datenschutz; §203 verbietet die Offenbarung an Dritte zusätzlich.

Macht sich mein Mitarbeiter strafbar, wenn er Daten in ChatGPT eingibt?

Verantwortlich ist der Berufsträger, der die mitwirkende Person nicht verpflichtet hat (§203 Abs. 4 Nr. 1).

Cloud in deutschem Rechenzentrum - reicht das?

Besser als US-Cloud, aber bei US-Mutterkonzernen bleibt CLOUD-Act-Risiko. On-Premise ist die sauberste Lösung.

Einstieg über den AI Cube (Festpreis); projektindividueller Aufbau für größere Häuser. Erstgespräch unverbindlich.

Funktioniert die KI komplett offline / air-gapped?

Ja. Im Standardbetrieb läuft alles lokal; eine Internetanbindung ist nur optional (z. B. für Updates, die Sie kontrollieren). Für Behörden/KRITIS ist air-gapped möglich.

Welche Modelle und Hardware kommen zum Einsatz?

Gängige Open-Source-LLMs (Llama, Qwen, Mistral, Gemma) auf NVIDIA-RTX-Hardware - vom AI Cube für die Einzelpraxis bis zum GPU-Server für größere Häuser. Kein Anbieter-Lock-in.

Haften Sie nach §203 mit?

Ja. Als verpflichtete mitwirkende Person sind wir selbst in die Strafbarkeit einbezogen (§203 Abs. 4 S. 2 StGB) - Ihr „skin in the game“. Zusätzlich besteht eine Hiscox IT-Haftpflicht.

DE EN

[email protected]

DE EN

§203 StGB

KI für Berufsgeheimnisträger - souverän, lokal, §203-konform

ChatGPT mit Mandanten- oder Patientendaten kann strafbar sein. Wir bauen KI, die Ihr Haus nie verlässt - auf Ihrer Hardware, integriert in Ihre Fachsoftware, vertraglich nach §203 abgesichert.

Ihre Hardware, Ihre DatenOpen Source, kein Lock-inHaftung & Vertrag

AI Cube ansehen

Führende Unternehmen weltweit vertrauen WZ-IT

Das Problem

Vier Muster, die KI hier blockieren

Cloud-KI verarbeitet Eingaben auf fremden Servern - eine mögliche Offenbarung nach §203, unabhängig von einer AVV.

Eine Auftragsverarbeitungsvereinbarung deckt das Datenschutzrecht, nicht die strafrechtliche Schweigepflicht.

US-Anbieter unterliegen dem CLOUD Act; EU-Residency schützt nicht vor Behördenzugriff.

Die Verantwortung trägt der Berufsträger - nicht der Mitarbeiter, der das Tool nutzt.

Rechtlicher Rahmen

§203 StGB & KI: die vollständige Mechanik

Die meisten Anbieter sagen nur „§203 = keine Cloud“. Entscheidend ist die Mechanik dahinter - und wie man sie vertraglich und technisch sauber erfüllt.

Was §203 StGB verbietet

§203 StGB stellt die unbefugte Offenbarung fremder Geheimnisse durch Berufsgeheimnisträger unter Strafe - Mandanten-, Patienten-, Beteiligtendaten, Geschäftsgeheimnisse. „Unbefugt“ heisst: ohne Einwilligung des Geheimnisherrn und ohne gesetzliche Befugnis. Strafrahmen: bis zu einem Jahr Freiheitsstrafe oder Geldstrafe (Abs. 1), bei Handeln gegen Entgelt bis zu zwei Jahre (Abs. 5). Antragsdelikt (§205 StGB), dazu berufsrechtliche Folgen bis zum Widerruf der Zulassung.

Warum Cloud-KI das Problem ist

Eingaben in ChatGPT, Copilot & Co. werden auf Servern Dritter (oft in den USA) verarbeitet. Diese Übermittlung kann bereits eine Offenbarung im Sinne des §203 StGB sein - unabhängig davon, ob der Anbieter die Daten aktiv nutzt. Eine AVV nach Art. 28 DSGVO ändert daran nichts: §203 geht über das Datenschutzrecht hinaus und verbietet die Offenbarung an Dritte zusätzlich und eigenständig. AVV ist nicht §203 - beide sind nötig.

Was die 2017-Reform erlaubt

Seit der Neuregelung darf ein IT-Dienstleister als „sonstige mitwirkende Person“ (§203 Abs. 3 S. 2 StGB) Zugang zu geschützten Informationen erhalten, OHNE dass dies ein strafbares Offenbaren ist - wenn drei Voraussetzungen erfüllt sind: (1) Erforderlichkeit für die Dienstleistung, (2) Verpflichtung in Textform mit Belehrung über die Straffolgen (§126b BGB), (3) sorgfältige Auswahl, Überwachung und unverzügliche Beendigung bei Verstoss.

Der Umkehrschluss - Ihr Risiko

Wer die mitwirkende Person NICHT verpflichtet, macht sich nach §203 Abs. 4 Nr. 1 StGB selbst strafbar. Nicht der Mitarbeiter, der Daten in ein Tool eingibt, trägt die Verantwortung - sondern der Berufsträger (Kanzlei-/Praxisinhaber). Strafbar ist nicht die Eingabe in ein abgesichertes System, sondern die unterlassene vertragliche Absicherung.

Skin in the game

Mit der Reform wird die mitwirkende Person selbst in die Strafbarkeit nach §203 Abs. 4 S. 2 StGB einbezogen. Als Ihr verpflichteter Dienstleister haften wir mit - das ist kein Risiko für Sie, sondern Ihre Absicherung.

Die Subunternehmer-Kette

Zieht ein Dienstleister selbst Unterauftragnehmer hinzu (Azure, AWS, Vercel), müssen DIESE ebenfalls in Textform verpflichtet werden. Bei US-Hyperscalern ist das praktisch nicht leistbar - zusätzlich greift der US CLOUD Act, der den Zugriff durch US-Behörden ermöglicht; EU-Residency schützt davor nicht. On-Premise auf Ihrer Hardware hat keine solche Kette: die Daten verlassen Ihr Haus nicht. Unser Fernwartungs-Zugriff macht uns weiterhin zur mitwirkenden Person - deshalb verpflichten wir uns vertraglich, für Aufbau- und Wartungsphase.

Unser §203-Compliance-Paket

Standard-Bestandteil jedes Aufbau-/AI-Cube-Vertrags - für Aufbau- und Wartungsphase:

AVV (Art. 28 DSGVO)

Datenschutz-Ebene

Geheimhaltungsverpflichtung

Textform + Strafbelehrung (§203/§126b)

Subunternehmer-Nachweis

kurze Kette / On-Prem

Dieser Inhalt ist allgemeine Information und keine Rechts- oder Steuerberatung. Die konkrete Verpflichtung mitwirkender Personen nach §203 StGB und den jeweiligen berufsrechtlichen Vorgaben ist im Einzelfall anwaltlich/steuerrechtlich zu prüfen.

Nach Berufsgruppe

Lösungen je Berufsgruppe

Verschwiegenheitsnorm, Use-Cases und Fachsoftware-Integration - berufsspezifisch.

Anwaltskanzlei

§43a BRAO · §43e BRAO

Präzedenzfall-Recherche, Schriftsatz-Entwürfe und Mandatswissen - lokal, §43e BRAO- und §203-konform.

Mehr erfahren

Steuerberater

§57 StBerG · §62a StBerG

§57/§62a StBerG-konforme KI - Mandantendaten bleiben in der Kanzlei.

Mehr erfahren

Arztpraxis & MVZ

§203 StGB · DSGVO Art. 9

Arztbriefe, Befunde, Kodierung - Patientendaten verlassen die Praxis nicht.

Mehr erfahren

Klinik & Krankenhaus

§203 StGB · KIS · air-gapped

Arztbriefe, Tumorboard, Kodierung im Volumen - air-gapped im eigenen RZ.

Mehr erfahren

Psychotherapie

§203 StGB · DSGVO Art. 9

Sitzungsdoku und Gutachter-Berichte - höchst sensibel, ausschließlich lokal.

Mehr erfahren

Notariat

§18 BNotO · §26a BNotO

Urkundsentwürfe und Registerrecht-Recherche - Beteiligtendaten bleiben im Amt.

Mehr erfahren

Wirtschaftsprüfer

§43 WPO · §323 HGB · §50a WPO

Arbeitspapiere, IDW-PS-Recherche, Berichtsentwürfe - Mandantenzahlen bleiben im Haus.

Mehr erfahren

Unser Vorgehen

Beraten. Aufbauen. Betreiben. Aus einer Hand.

Souveräne KI ist ein Lebenszyklus, kein Gerätekauf - und alles bleibt auf Ihrer Infrastruktur.

Beraten & Konzipieren

Workshop, Sizing, Datenklassifizierung und §203-Vertragsrahmen. Wir verstehen Ihren Stack, Ihre Fachsoftware und Ihre Compliance-Anforderungen, bevor wir empfehlen.

Aufbauen & Integrieren

On-Premise-Aufbau auf Ihrer Hardware, RAG auf Ihren Dokumenten mit Zugriffskontrolle, Integration in Ihre Fachsoftware, Geheimhaltungsverpflichtung + AVV.

Betreiben & Warten (optional)

Updates, Monitoring, Modell-Upgrades und RAG-Pflege als Wartungsvertrag - oder Sie betreiben vollständig selbst. Übergabe und Wissenstransfer inklusive.

Aus einem Haus

Das volle Leistungsspektrum für Ihre lokale KI

Von Hardware und Inferenz über RAG und Integration bis zu Betrieb und Sicherheit - kein Schnittstellen-Ping-Pong zwischen Beratung, Aufbau und Betrieb.

Lokale KI-Infrastruktur

Wissen & RAG

Integration & Entwicklung

Betrieb & Sicherheit

Zum gesamten KI-Hub

Warum WZ-IT

Drei Gründe, die den Unterschied machen

Ihre Hardware, Ihre Daten

On-Premise-Aufbau bei Ihnen - kein Datenabfluss, kein CLOUD-Act-Risiko.

Open Source, kein Lock-in

Ollama, vLLM, Open WebUI, Qdrant - intern betreibbar, kein Anbieter-Zwang.

Haftung & Vertrag

§203-Geheimhaltungsverpflichtung mit Strafbelehrung + AVV + Hiscox IT-Haftpflicht.

Häufige Fragen

Lassen Sie uns über Ihre Idee sprechen

Ob konkrete IT-Herausforderung oder einfach eine Idee - wir freuen uns auf den Austausch. In einem kurzen Gespräch prüfen wir gemeinsam, ob und wie Ihr Projekt zu WZ-IT passt.

E-Mail

[email protected]

Führende Unternehmen vertrauen WZ-IT